分析待定CVE-2026-23781

CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT

平台

other

组件

bmc-control-m-mft

修复版本

9.0.22-025

在NVD查看

保存

CVE-2026-23781 描述了 BMC Control-M/MFT 软件中存在的一个安全漏洞。该漏洞源于应用程序包中硬编码的默认调试用户凭据，这些凭据以明文形式存储。如果这些凭据未被更改，攻击者可以轻松获取它们并利用这些凭据未经授权地访问 MFT API 调试接口。受影响的版本包括 9.0.20 至 9.0.22，已发布修复版本 9.0.22-025。

影响与攻击场景

攻击者利用此漏洞可以未经授权访问 BMC Control-M/MFT API 调试接口。这可能导致敏感数据的泄露，包括配置信息、日志数据以及可能包含业务逻辑的调试信息。攻击者还可以利用调试接口进行进一步的攻击，例如修改数据、执行未经授权的操作，甚至可能导致系统被完全控制。由于凭据以明文形式存储，攻击者只需访问应用程序包即可轻松获取这些凭据，无需复杂的攻击技术。该漏洞的潜在影响范围取决于 MFT API 调试接口的功能和访问权限，可能涉及多个系统和用户。

利用背景

目前尚未公开发现针对 CVE-2026-23781 的公开利用代码 (POC)。该漏洞已于 2026 年 4 月 10 日发布，因此可能尚未被广泛利用。漏洞的严重程度正在评估中，但由于凭据以明文形式存储，且易于获取，因此可能被认为具有中等风险。建议密切关注安全社区的动态，并及时采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.07% (20% 百分位)

受影响的软件

组件bmc-control-m-mft

供应商n/a

最低版本9.0.20

最高版本n/a

修复版本9.0.22-025

时间线

发布日期2026-04-10
修改日期2026-04-14
EPSS 更新日期2026-04-18

缓解措施和替代方案

为了缓解 CVE-2026-23781 漏洞，首要措施是立即升级至 BMC Control-M/MFT 9.0.22-025 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查并更改所有默认调试用户凭据，确保它们不再以明文形式存储。其次，限制对 MFT API 调试接口的访问，只允许授权用户访问。最后，实施严格的访问控制策略，并定期审查用户权限，以防止未经授权的访问。升级后，请验证新版本是否已成功部署，并确认调试接口已不再暴露硬编码凭据。

修复方法翻译中…

Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo.  Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.

常见问题

什么是 CVE-2026-23781 — 硬编码凭据漏洞在 BMC Control-M/MFT 中?

CVE-2026-23781 描述了 BMC Control-M/MFT 9.0.20 至 9.0.22 版本中存在的一个安全漏洞，该漏洞源于应用程序包中硬编码的默认调试用户凭据，这些凭据以明文形式存储。

我是否受到 CVE-2026-23781 在 BMC Control-M/MFT 中的影响?

如果您正在使用 BMC Control-M/MFT 9.0.20 至 9.0.22 版本，则可能受到此漏洞的影响。请立即升级至 9.0.22-025 或更高版本。

如何修复 CVE-2026-23781 在 BMC Control-M/MFT 中的漏洞?

修复此漏洞的最佳方法是升级至 BMC Control-M/MFT 9.0.22-025 或更高版本。如果无法立即升级，请更改默认调试用户凭据并限制对调试接口的访问。

CVE-2026-23781 是否正在被积极利用?

目前尚未公开发现针对 CVE-2026-23781 的公开利用代码，但由于漏洞的严重性，建议密切关注安全社区的动态。

在哪里可以找到 BMC Control-M/MFT 中 CVE-2026-23781 的官方公告?

请访问 BMC 官方网站或安全公告页面，搜索 CVE-2026-23781 以获取官方公告和修复信息。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE

live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始：拥有账户后，您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...

浏览文件